Dela via

Felsöka privata slutpunkter

Den här guiden kan hjälpa dig att felsöka problem med anslutning, drift och klusterskapande för ett kluster med hjälp av privata slutpunkter. Om du har anslutningsproblem med privata slutpunkter använder du följande felsökningsvägledning.

Kontrollera anslutningstillståndet

Kontrollera att anslutningstillståndet för den privata slutpunkten är inställt på godkänd.

  1. I Azure-portalen går du till klustret och väljer sedan Nätverk

  2. Välj Privat slutpunkt. I tabellen i kolumnen Anslutningstillstånd kontrollerar du att den privata slutpunkten är godkänd.

    Skärmbild av nätverkssidan som visar alla privata slutpunkter för klustret i Azure-portalen.

Kör kontroller inifrån virtuella nätverket

Använd följande kontroller för att undersöka anslutningsproblem från samma virtuella nätverk. Vi rekommenderar att du distribuerar en virtuell dator i samma virtuella nätverk där du skapade den privata slutpunkten. När du har loggat in på datorn kan du köra följande tester.

Kontrollera namnuppslagning

Kontrollera att namnuppslagningen fungerar korrekt.

Iterera över alla FQDN för DNS-konfigurationen för den privata slutpunkten och kör testerna med nslookup, Test-NetConnection eller andra liknande verktyg för att verifiera att varje DNS matchar motsvarande IP-adress.

Skärmbild av DNS-konfigurationssidan som visar DNS-konfigurationen för den privata slutpunkten.

Kontrollera DNS-lösning

Kör dessutom följande kommando för att kontrollera att DNS-namnet för varje FQDN matchar dess motsvarande IP-adress.

#replace the <...> placeholders with the correct values
nslookup <cluster-name>.<cluster-region>.kusto.windows.net

#Results in the following output:
Server:'Server'
Address:'Address'

Non-authoritative answer:
<cluster-name>.<cluster-region>.kusto.windows.netcanonical name = <cluster-name>.privatelink.<cluster-region>.kusto.windows.net.
Name:<cluster-name>.privatelink.<cluster-region>.kusto.windows.net
Address: 'Address'

Om du hittar ett FQDN som inte matchar dess motsvarande IP-adress måste du åtgärda din anpassade DNS-server. Om du inte använder en anpassad DNS-server skapar du ett supportärende.

Anslutningskontroller

Kontrollera om du kan upprätta en TCP-anslutning till varje FQDN för den privata slutpunktens DNS-adress. Kör följande tester på alla FQDN:er som nämns i DNS-konfigurationen för den privata slutpunkten.

#replace the <...> placeholders with the correct values
Test-NetConnection -ComputerName <cluster-name>.<cluster-region>.kusto.windows.net -Port 443

#Results in the following output:
ComputerName     : <cluster-name>.<cluster-region>.kusto.windows.net
RemoteAddress    : 'RemoteAddress'
RemotePort       : 443
InterfaceAlias   : Ethernet
SourceAddress    : 'SourceAddress'
TcpTestSucceeded : True

Ett lyckat resultat returnerar TcpTestSucceeded: True, vilket innebär att anroparen kunde upprätta en TCP-anslutning till klustret.

Kontrollera hälsotillståndet för klustret

Det sista steget i felsökningen är att testa klustrets hälsotillstånd.

#replace the <...> placeholders with the correct values
#engine
Invoke-RestMethod https://<cluster-name>.<cluster-region>.kusto.windows.net/v1/rest/ping
Pong! IP address: 'IPv6IPaddress1'

#data management
Invoke-RestMethod https://ingest-<cluster-name>.<cluster-region>.kusto.windows.net/v1/rest/ping
Pong! IP address: 'IPv6IPaddress2'

Ett lyckat resultat måste returnera Pong! och en IPv6-adress.

Kontrollera listan över återkallade fjärrcertifikat

Om du får ett undantag om att fjärrcertifikatet inte kan verifieras när du använder C#SDK kan nätverket vara konfigurerat för att blockera kontroll av listan över återkallade fjärrcertifikat.

System.Net.Http.HttpRequestException: The SSL connection could not be established, see inner exception. --->
System.Security.Authentication.AuthenticationException: The remote certificate is invalid because of errors in the certificate chain: RevocationStatusUnknown

Du kan lösa det här problemet genom att tillåta åtkomst till listan över url:er för fjärrcertifikatverifiering från konfigurationsguiden för privata Azure-nätverk.

Alternativt (rekommenderas mindre) kan du inaktivera valideringen av fjärrcertifikatåterkallning med något av följande alternativ:

  • Använda kommandoraden Args: Lägg till följande argument i C#-processen:
-tweaks:Kusto.Cloud.Platform.Net.ExtendedServicePointManager.DisableCertificateRevocationListValidation=true
  • Använda miljövariabler: Ange följande miljövariabel i kontexten för din datorprocess:
tweaks="Kusto.Cloud.Platform.Net.ExtendedServicePointManager.DisableCertificateRevocationListValidation=true"
  • Använda kod: Lägg till följande kodrad när du initierar programmet:
Kusto.Cloud.Platform.Utils.Anchor.Tweaks.SetProgrammaticAppSwitch("Kusto.Cloud.Platform.Net.ExtendedServicePointManager.DisableCertificateRevocationListValidation", "true");

Andra felsökningstips

Om du fortfarande har problem när du har provat alla dessa kontroller kan du prova att använda felsökningsguiden för den privata slutpunkten för att diagnostisera den.

Felsöka hanterade privata slutpunkter

För hanterade privata slutpunkter kontrollerar du bara att anslutningsstatusen för alla hanterade privata slutpunkter är Godkänd. Annars kan klustret inte ansluta till motsvarande tjänster.

Kontrollera att anslutningstillståndet för den hanterade privata slutpunkten är inställt på godkänt genom att göra följande:

  1. I Azure-portalen går du till klustret och väljer sedan Nätverk

  2. Välj Privata slutpunktsanslutningar. I tabellen i kolumnen Anslutningstillstånd kontrollerar du att den hanterade privata slutpunkten har godkänts.

Om du inte kan skapa en hanterad privat slutpunkt kontrollerar du att prenumerationen är registrerad för Microsoft.Network-resursprovidern:

  1. I Azure-portalen går du till din prenumeration och väljer sedan Resursprovidrar

  2. Sök efter Microsoft.Network och registrera resursprovidern.

Andra felsökningsriktlinjer

Om alla kontroller lyckades och du fortfarande inte kan upprätta en anslutning till klustret bör du kontakta företagets säkerhetsteam som ansvarar för brandväggar och nätverk i allmänhet.

Potentiella orsaker till fel är:

  • Felkonfiguration av brandväggsinstallationen
  • Felkonfiguration av användardefinierade vägar i ditt virtuella Azure-nätverk
  • En felkonfigurerad proxy på klientdatorn
  • En felkonfigurerad proxy mellan klienten och klustret